Registros da Cloudwatch - auditar o acesso do usuário

3

Eu tenho uma lista de usuários em .passwd e access_log sendo enviados para o Cloudwatch. Preciso fazer um relatório semanal que desta lista tenha acesso ao servidor.

Existe alguma maneira de automatizar isso em vez de verificar os registros manualmente para cada usuário? Existem várias dezenas deles.

    
por Kirill 21.11.2018 / 09:30

2 respostas

0

Para automatizar uma tarefa como essa, você tem algumas opções.

  1. Processamento em lote - Baixe os registros do CloudWatch e, em seguida, analise-os , procurando por seus usuários.

    Você pode usar aws logs describe-log-streams para localizar os nomes dos fluxos de logs, filtrá-los por timestamp para garantir que você processe apenas os mais recentes.

    Para cada chamada de fluxo de logs aws logs get-log-events , que fornecerá as mensagens de registro reais e as analisará, por exemplo, usando grep .

    Em vez de usar aws e grep , talvez você queira escrever um pequeno downloader / analisador. em python ou em algum outro idioma de sua escolha e use um dos SDK da AWS bibliotecas para acessar os logs.

  2. Processamento on-line - capture e processe os registros de log correspondentes assim que forem gravados no CloudWatch Logs . Você pode configurar o padrão Filtro de registros do CloudWatch e alimentar o correspondência access_log registros, por exemplo para uma função Lambda que acompanhará os usuários que acessam seu site. Você pode manter os resultados, por exemplo, em um DynamoDB , um objeto para cada usuário.

  3. peso pesado e use Serviço ElasticSearch ou Graylog ou Splunk ou algum serviço de processamento de log semelhante . Mas é muito provável que seja um exagero no seu caso de uso.

Espero que ajude:)

    
por 21.11.2018 / 22:09
0

O NXLog pode usar a API do CloudWatch para extrair logs do Amazon Cloudwatch e também há um script Python disponível aqui .

    
por 26.11.2018 / 12:19